一@@、 采用国产软硬件是@@保障信息安全的@@要求@@@@
(一@@) 自主@@开发才能保证信息可控@@@@
目前@@,我国信息系统中采用的@@软硬件大多来自国外@@,据有关机构统计@@,国内经济部门@@70%的@@信息设备来自国外@@,特别是@@信息系统和@@网络设备使用的@@关键芯片@@@@、核心软件和@@部件绝大部分依赖进口@@,存在重大安全隐患@@。
现代的@@@@CPU芯片@@包含上亿个晶体管@@,操作系统等基础软件包含数千万行源代码@@,都是@@复杂系统@@。对于这样规模的@@复杂系统@@,如果不是@@自主@@开发的@@@@,仅依靠@@“黑箱测试@@”,则现有的@@测试手段和@@方法不能确保其没有@@“后门@@”和@@“漏洞@@”。
在这个意义上@@,复杂信息产品如果不是@@@@“自主@@”的@@,就做不到@@“可控@@”,“自主@@”是@@“可控@@”的@@必要条件@@。换言之@@,复杂信息产品只有在@@“自主@@”的@@前提下才能达到@@“可控@@”。
芯片@@、操作系统等处于信息系统的@@底层@@,处于上层的@@安全设备或安全软件无法对它们的@@行为进行控制@@。例如@@,去年发生的@@@@“黑屏@@”事件是@@由操作系统控制的@@@@,虽然其表现形式类似于病毒@@,但一@@般杀毒软件@@、防火墙等对此都无能为力@@。
微软曾与我国政府@@签订了@@“政府@@安全计划@@”,也称@@“政府@@源代码备案计划@@”,允许在它的@@实验室里@@“观看@@”约@@97%的@@源代码@@,但不能下载研究@@、不能重构验证@@,还有核心的@@@@3%源代码连@@“观看@@”也不允许@@。就保障安全而言@@,“观看@@”部分源代码没有什么用处@@,实践也证明这样做无助于改进信息安全@@。
信息设备和@@软件的@@使用离不开系统维护@@,维护者可以确知每个设备和@@软件的@@具体使用信息@@,在他们面前@@,信息系统根本无密可保@@,已发生过因更换设备或远程维护导致的@@失密案例@@。
(二@@) 采用国产软硬件是@@贯彻执行@@《信息安全等级保护管理办法@@》的@@要求@@
《信息安全等级保护管理办法@@》第二@@十一@@条规定第三级以上信息系统应当选择使用符合以下条件的@@信息安全产品@@:(1)产品研制@@、生产单位是@@由中国公民@@、法人投资或者国家投资或者控股的@@@@,在中华人民共和@@国境内具有独立的@@法人资格@@;(2)产品的@@核心技术@@、关键部件具有我国自主@@知识产权@@。显然@@,第三级以上信息系统应当采用国产软硬件@@。
